PIN-код предварительной загрузки предотвращает автоматическую загрузку ключа шифрования в системную память во время процесса загрузки, который защищает от атак с прямого доступа к памяти (DMA) для систем с уязвимыми для них аппаратными средствами. Документация Microsoft объясняет это более подробно.
Шаг первый: включить BitLocker (если вы еще не сделали этого)
Обратите внимание, что если вы отключите BitLocker на компьютере без TPM, вам будет предложено создать пароль запуска, который будет использоваться вместо TPM. Следующие шаги необходимы только при включении BitLocker на компьютерах с TPM, которые имеются у большинства современных компьютеров.
Если у вас есть домашняя версия Windows, вы не сможете использовать BitLocker. Вместо этого у вас может быть функция шифрования устройства, но это работает не так, как BitLocker, и не позволяет вам предоставить ключ запуска.
Шаг второй: включить PIN-код запуска в редакторе групповой политики
После того, как вы включили BitLocker, вам нужно будет отключить свой PIN-код. Для этого необходимо изменить параметры групповой политики. Чтобы открыть редактор групповой политики, нажмите Windows + R, введите «gpedit.msc» в диалоговом окне «Запуск» и нажмите «Ввод».
Начните с конфигурации компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Операционные системы в окне групповой политики.
Дважды щелкните значок «Требовать дополнительную аутентификацию при запуске» в правой панели.
Шаг третий: добавьте PIN-код на свой диск.
Теперь вы можете использовать
manage-bde
чтобы добавить ПИН-код в свой зашифрованный BitLocker диск.
Для этого запустите окно командной строки в качестве администратора. В Windows 10 или 8 щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (Admin)». В Windows 7 найдите ярлык «Командная строка» в меню «Пуск», щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора»,
Выполните следующую команду. Команда ниже работает на вашем диске C: поэтому, если вы хотите потребовать ключ запуска для другого диска, введите его букву диска вместо
c:
manage-bde -protectors -add c: -TPMAndPIN
Вам будет предложено ввести PIN-код здесь. В следующий раз, когда вы загрузитесь, вас попросят ввести этот PIN-код.
manage-bde -status
(Здесь отображается защитный ключ «Цифровой пароль», это ваш ключ восстановления.)
Как изменить PIN-код BitLocker
Чтобы изменить PIN-код в будущем, откройте окно командной строки в качестве администратора и выполните следующую команду:
manage-bde -changepin c:
Вам нужно будет ввести и подтвердить свой новый PIN-код, прежде чем продолжить.
Как удалить требование PIN-кода
Если вы передумаете и хотите прекратить использование PIN-кода позже, вы можете отменить это изменение.
Во-первых, вам нужно перейти в окно групповой политики и изменить параметр «Разрешить ввод PIN-кода с TPM». Вы не можете оставить параметр «Требовать ввод PIN-кода с помощью TPM» или Windows не позволит вам удалить PIN-код.
manage-bde -protectors -add c: -TPM
Это заменит требование «TPMandPIN» требованием «TPM», удалив PIN-код. При загрузке ваш диск BitLocker автоматически разблокируется с помощью TPM вашего компьютера.
manage-bde -status c:
Если вы забыли ПИН-код, вам необходимо предоставить код восстановления BitLocker, который вы должны были сохранить где-то в безопасности, когда вы включили BitLocker для вашего системного диска.